您现在的位置:情感控制 > 情感说说 > 正文

《焦点访谈》 20141226 被“撞”开的12306

时间:2019-07-30 18:52 作者:admin

《焦点访谈》 20141226 被“撞”开的12306

视频截图视频截图视频截图  央视网消息(焦点访谈):眼下,正是春运抢票的高峰期,铁路购票网站12306每天的访问量都很惊人。 正当人们天天在网上挂着买票的时候,昨天突然有消息说,大量12306的用户信息被泄露。 这一下,让急于买票的人又凭空多了一份担心。   2014年12月25日上午11点,某网络漏洞报告平台发布报告称,大量12306用户数据在互联网疯传,包括用户账号、明文密码、身份证邮箱等,导致用户资料大量泄漏。 消息一经发布,在网络引发巨大反响。   这条消息到底是真是假呢?记者登录某网站,果然轻松下载到了这份资料。 这份用户资料有13万多个,包含用户的姓名、手机号码、注册用的邮箱,甚至连身份证号码也一应俱全。   12月25日下午,铁道部12306订票网站也发布公告承认了的确有资料外泄。 而如此大量的详细资料外泄,会造成严重的后果,不仅用户的火车票会被退票,还可能被犯罪分子利用来进行诈骗。

  12306的网站公告称,此次事件原因是个人信息经其他网站或渠道泄露。

  网络安全工程师告诉记者:这次泄露的数据很大可能是撞库。

所谓撞库,就是黑客最常用的窃取个人信息的手法,也就是黑客通过收集网络上已泄露的用户名及密码信息,到其他网站尝试批量登录,得到一批可以登录的用户账号及密码,并由此盗取更多的个人信息。 果然,在网络安全工程师的演示中,轻而易举地就采取撞库的方式登录了12306网站上用户账户。   今天中午12点,中国铁路官方微博发布消息,涉嫌泄露他人个人信息的两名泄密者已被警方抓获。 经查,他们所采用的方法就是工程师所说的撞库。

  工程师介绍,之所以会轻易泄露,首先是因为用户在一些网站注册时,使用了同样的用户名和密码,这虽然方便自己,也方便了窃贼,一旦丢失后果不堪设想。

  工程师告诉记者,像黑客这样,如果仅有一个用户名和密码,在登录12306网站的时候还需要填入一个网站随机生成的与之对应的验证码,只有这样才能进入网站获得这个用户更多的信息,而这近14万的个人信息显然不是能通过人工方式一一输入验证码来获取的。 那么作为最后的安全屏障,12306的输入验证码功能为什么没能阻挡大批量的信息窃取呢?工程师测试发现,之所以造成撞库迅速成功,是因为12306的验证码可以被黑客使用的计算机轻易识别出来。   而记者进一步调查发现,这一次安全问题造成的用户信息泄露已经发生了一段时间。 网络安全工程师表示:应该是有半个月以上的时间,到今天早上为止,我们发现还是有账户可以登录。   12306网站何时知道用户个人信息被泄露我们不得而知,但是从12月25日,12306网站发布公告至今,并没有对已被泄露信息的用户采取以短信、邮件等形式的提醒,通知其更换密码,仍有不少已被泄露的用户对此并不知情。   据了解,犯罪嫌疑人是通过撞库手段非法获取信息,并非法牟取利益。

现在案件还在审理当中。 其实,不管是谁通过什么方式得到了用户信息,现在最重要的问题是,今后要怎么保护好个人信息。 在这里,除了用户自己要注意,最关键的,还是网站怎么尽到责任,怎么从技术和管理上加强防范,尤其是像12306这样涉及亿万用户关键信息的网站,更应在这方面下足功夫。